Skip to content Skip to sidebar Skip to footer

Novità sul dossier sanitario

Sono state pubblicate sulla Gazzetta Ufficiale n. 164 del 17 luglio 2015 le nuove linee guida emanate dall’Autorità garante per la protezione dei dati personali in materia di Dossier Sanitario. Ricordiamo che il Dossier Sanitario raccoglie tutte le informazioni riguardanti la salute dei pazienti, di cui sia stato acquisito il consenso informato per tale tipologia di trattamento facoltativo, al fine di documentarne la storia clinica presso la struttura sanitaria dove il dossier è costituito. Informazioni che possono poi essere condivise dai diversi reparti e professionisti della struttura sanitaria in modo da poter così offrire un migliore servizio di cura al paziente.

Tra le novità più rilevanti poste dalle linee guida a tutela della privacy dei pazienti segnaliamo:

1.    Diritto dell’interessato alla visione degli accessi al proprio dossier sanitarionell’informativa resa all’interessato dovranno essere indicate le modalità attraverso le quali potrà chiedere di avere visione degli accessi effettuati al proprio Dossier Sanitario con l’indicazione della struttura/reparto che ha effettuato l’accesso e della data e dell’ora in cui è avvenuto. Il titolare del trattamento, o il soggetto all’uopo delegato da quest’ultimo, devono fornire riscontro alla richiesta dell’interessato entro quindici giorni dal suo ricevimento ovvero, nei casi di particolare complessità o giustificato motivo, entro trenta giorni.

2.    Utilizzo dei dati contenuti nel Dossier Sanitario per finalità di ricerca: ulteriore novità riguarda la possibilità concessa ai titolari del Dossier Sanitario di utilizzare i dati contenuti in quest’ultimo, oltre che per il perseguimento di finalità di prevenzione,  cura, assistenza e riabilitazione, anche per fini di ricerca nel rispetto di quanto previsto dal Codice Privacy per tale tipologia di trattamenti.

3.    Adozione di elevate misure di sicurezza: oltre alle prescrizioni già indicate nelle precedenti linee guida del 2009, il Garante ha meglio precisato le modalità con cui devono essere implementati i sistemi di controllo:

a.       degli accessi effettuati al Dossier Sanitario (c.d. sistemi di log) che dovranno tenere traccia: del codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; della data e l’ora di esecuzione; del codice della postazione di lavoro utilizzata; dell’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati. Dovranno essere tracciate anche le semplici operazioni di consultazione (c.d. inquiry). È inoltre precisato che i log delle operazioni di accesso dovranno essere conservati per un periodo di tempo non inferiore a 24 mesi dalla data di registrazione dell’operazione;

b.      per il rilevamento di eventuali anomalie (c.d. audit log) attraverso indicatori di allerta (es. alert relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi) da utilizzare per la comunicazione del data breach al Garante.

4.    Obbligo di comunicazione dei data breach: il titolare del trattamento deve procedere alla comunicazione obbligatoria al Garante in caso di eventuali violazioni dei dati (c.d. data breach) o incidenti informatici (es. accessi abusivi, azione di malware), oppure nel caso di rilevate anomalie che espongano i dati a rischi di violazione.

La comunicazione del data breach andrà redatta in base allo schema riportato nell’Allegato B delle linee guida e inviata all’autorità entro quarantotto ore dalla conoscenza del fatto, tramite posta elettronica o p.e.c., all’indirizzo databreach.dossier@pec.gpdp.it.

L’omessa comunicazione al Garante configura un illecito amministrativo sanzionato ai sensi dell’art. 162, comma 2-ter, D.Lgs. 196/2003.

5.    Opportunità di nominare un Data Protection Officer: il Garante, in considerazione della particolare delicatezza dei dati sanitari trattati attraverso il Dossier Sanitario, auspica che il titolari di tale trattamento individuino al proprio interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente del Garante, anche con riferimento ai casi di data breach. Osserviamo che la nomina di tale figura, cui competerebbero tutta una serie di attività di controllo in materia privacy e di gestione dei rapporti con il Garante come indicato nella bozza di regolamento europeo di prossima emanazione sulla protezione dei dati personali, pur non essendo attualmente ancora obbligatoria si rende dunque quanto mai opportuna nelle realtà del mondo sanitario.

Leave a comment

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.